6163银河net163am(中国)BinG百科NO.1-One

        内网安全防御平台通过网络配置突变、随机地址跳变、网络节点和网络服务虚拟和跃迁技术等，实现网络的动态化，为每个接入到该设备的主机提供随机的、动态的、多样的网络环境，在不影响正常功能的情况下，伪装网络拓扑，迷惑外来攻击者和内在潜伏者，保护实际的网络资源，达到网络的隐真示假，让攻击者和潜伏嗅探威胁无法准确获取网络的真实情况和有效信息，从而使网络安全变被动防御为主动防御，有效探知零日攻击和高威胁持续攻击。

        动态交换机系统包括流量处理子系统、网络服务子系统、动态变换子系统、动态节点虚拟子系统、管理平台子系统等，如图所示。

        流量处理子系统聚焦实现交换机的报文转发功能，关注二层网络交换，实现三种交换机端口工作模式Access、Trunk、Hybrid，采用多种队列调度算法使不同的数据流得到不同优先级的转发序列，保证局域网内主机的各类上层业务的应用与服务质量。

        网络服务子系统对系统的IP地址、域名等网络资源进行配置和管理、并实现网络动态变形过程中的网络资源映射，保证系统接入主机网络的稳定性、易用性，同时可实时感知系统的网络状态，提高网络服务的稳定性和系统的鲁棒性，保证内网主机的网络服务质量。

        动态变换子系统通过网络配置跳变技术、网络服务动态跃迁技术等，对网络和数据信息进行动态跳变，转变传统手段所具有的防御被动性、静态性缺陷，制造动态异构的网络动态信息，营造真真假假的内网环境以欺骗攻击者，保护关键节点。

        动态节点虚拟子系统会为接入主机动态构造异构的网络拓扑，支持网络拓扑中虚拟节点、真实主机的动态指纹变换，通过动态生成的海量“节点传感器”，可对内网主机的异常行为进行动态实时的感知告警并采取反制措施，进而迷惑内外攻击者，保护网络关键资源，让攻击者无法准确获取网络的真实情况，将被动防御转为主动防御，变事后防御为事前防御，做到先知先觉，彻底改变后知后觉、“补锅匠”式的防御方法。

        管理平台子系统负责整体系统的控制、管理、配置和运行状态监控等功能，是管理者与系统功能实现的接口系统，提供良好的、易交互的操作环境，同时通过多种统计信息、状态信息实时反映系统的运行状况，提高系统的可操作性与可扩展性。

功能指标：

l   具备二层网络交换功能，支持未知单播在VLAN域内的广播

l   具备QoS队列调度，支持包重定向、镜像和转发功能

l   具备IP/MAC地址绑定， MAC地址黑名单，基于端口的MAC地址学习数量限制

l   具备2层~4层至少7元组（SIP DIP SPORT DPORT protocol等）包过滤功能，黑白名单访问控制

l   支持IP地址跳变、服务端口跳变

l   具备隐藏受保护网络设备的真实网络地址，高速实时动态地变换受保护网络设备的虚拟网络地址，借此以保证网络攻击者无法定位及分析受保护网络设备的流量，保证其通信安全

l   本设备支持命令行，配置文件，WEB管理模式

l   具备二次开发接口，支持后续定制开发

l   支持安全数据接口采集系统的安全日志、状态日志和威胁告警

l   支持E5 2600 V3/V4 CPU

l   支持8个接入模块定灵活配置

l   电源支持1+1包含

性能指标：

l   支持4K VLANs，VLAN支持Access、Trunk、Hybrid三种模式

l   支持8192条MAC地址表项

l   交换延时≤400微秒，平均丢包率≤10-9

l   每端口支持8个优先级队列，支持SP、WRR队列调度算法

l   吞吐量：转发性能64字节报文≥5Gbps，随机包长转发性能达到线速（≥9.5Gbps）

l   支持1024个受保护网络设备的IP地址和服务端口跳变

l   虚拟IP地址池支持≥10万个虚拟IP

l   动态变形切换时间最快小于≤10秒

l   内存不小于64G，并可根据客户需求最大提升至256G内存